各人が保有しているスキルを他者に認めてもらうためには、資格の取得が一番の近道です。IT分野に関する資格試験は、独立行政法人 情報処理推進機構(以下、IPA)をはじめ、シスコシステムズやマイクロソフトなど多数の団体が実施していますが、今回は情報セキュリティ担当者に関係する資格を含む3つの試験を紹介いたします。またそれに合わせて通常の資格取得時にはあまり考えることの少ない、資格保有によるデメリットも併せて紹介いたします。
目次
1.セキュリティ担当者としての価値と評価
2.認定基準としてのセキュリティ試験
3.ITに従事するものだけではない。基本としてのITパスポート試験
4.IT事業者なら全員が学ぶべき。情報セキュリティマネジメント試験
5.誰からも認められるものになれ。情報処理安全確保支援士試験
6.セキュリティは日進月歩。継続こそ力なり。
7.資格の落とし穴。持てるものの悩み。
8.企業が本当に欲しかったもの。
セキュリティ担当者としての価値と評価
中小企業に入社してセキュリティ担当に任命されたから、大企業に入社してセキュリティ部門に配属されたから、など、社会人がセキュリティに関する知識や技術を得ようとするきっかけは様々かと思われます。
しかしその業務内容は、『企業のセキュリティを担保する』という点において、どちらもそれほど変わりません。自分の所属する会社から認められ、相応の地位や給与を得るためには何らかのアクションを起こす必要があります。
日々の業務を問題なく遂行し、また常に改善を目指し続ける姿勢はもちろん大事ですが、そこにもう1つ客観的な自分のスキルレベルを示す試験に合格する、というのもわかりやすい評価ポイントの1つです。現在の地位や給与に満足していたとしても、試験に合格するために勉強をすることによって当然新たな知識も得られるようになりますし、こういった知識は日々の業務に対しても大きな影響を与えます。
自分自身の価値を高めるために、あるいは日々の業務の最適化のために、上手に試験を活用していきましょう。
認定基準としてのセキュリティ試験
情報処理に関する資格は、経済産業省管轄のIPAが一括して窓口を担っています。ただその試験区分は改変も多くあるため注意が必要です。ちなみに現在の枠組みになったのは2017年7月に行われた枠組み変更からなので、まだ歴史は浅いです。
そのIPAが行っている技術者系の資格試験は大別して
【情報処理技術者試験】
【情報処理安全確保支援士試験】
これら2区分が存在しています。この2つの最大の違いは、独占名称であるかどうか。もう少し分かりやすく言えば、「○○士」と名乗れるかどうかです。
名乗れる方は後者の「情報処理安全確保支援士試験」で、これに合格すると国家資格である「情報処理安全確保支援士」という資格を得ることができ、名刺にも使用できるなど、自身の肩書として利用できるようになるのです。詳しくは後述しますが、セキュリティ試験における、ある種の到達点である資格と言えます。
前者の「情報処理技術者試験」には、認定試験として
【ITパスポート試験】
【情報セキュリティマネジメント試験】
これら2つが存在していますので、合計3つの認定試験が存在することになります。では、それらの試験を細かく見ていきましょう。
ITに従事するものだけではない。基本としてのITパスポート試験
「ITパスポート試験」というのは全社会人が学ぶべきIT利活用に関する試験です。
実際に出題される問題も、情報機器の取扱い方や業務遂行や情報収集の方法、その他業務分析やシステム化など、一般的な業務の遂行に関する知識を問うものがほとんどです。ビジネスの世界では日増しにIT関連のサービスや技術が増加していますから、それを安全に扱うための基本的な知識を養う、というのがこの試験の役割です。
問題はマークシートに回答する選択式で、パソコンを使用して行われます。ほぼ毎週試験が実施されており、その場で合否判定が出るのである意味気軽に受験できる試験と言えるでしょう。
決して難易度が高いわけではなのですが、入社前の義務となっている企業があることからも分かるように、受験者数が非常に多く、またその全員がきちんと勉強してきているわけではないので合格率は40%前後を推移しています。
とはいえ書店で売っている参考書や公式ホームページにて掲載されている過去問を参考にすれば基本的に合格できる試験です。なので、逆に考えるとこの試験に合格しても、周りとの差別化は図れません。「情報処理に関する試験とはどんなものなのか?」という事を知るための、いわば試験に慣れるための試験という位置づけが順当でしょう。
ちなみにですが、この試験で出題されている問題と言うのは現場に即した基礎知識なので、日頃からセキュリティの現場で働かれている方には特別な勉強などせずとも楽に合格できるくらいのスキルは身に着けておいてもらいたいところです。
IT事業者なら全員が学ぶべき。情報セキュリティマネジメント試験
「情報セキュリティマネジメント試験」は、情報セキュリティを中心に組織全体を守るための知識が問われる試験です。
先ほどのITパスポート試験は基本的な問題ばかりですが、こちらは情報セキュリティに関する専門資格の入り口に当たる試験で、各部門長や監督者が学ぶべきものとされています。
実際に情報セキュリティマネジメント試験の公式ホームページに掲載されている、“期待する水準”という箇所の中には
「部門の情報セキュリティマネジメントの一部を独力で遂行できる」
という文言があり、現場のマネジメントも必要になる監督者が学んでほしい知識、スキルが求められていることが分かります。
ただ、これに合格してもまだ国家資格の肩書としては名乗ることはできません。
情報セキュリティマネジメント試験が誕生したのが2016年。試験の開催時期は春期と秋期の年2回で、ITパスポート試験と比べてぐんと少なくなっています。
内容も選択式ではあるものの、ITパスポート試験よりは難しくなっています。その分真剣に勉強してから臨む人が多いためか、合格率は50%前後を推移しています。
ただあくまで実務レベルで必要なことが重視されているため、突拍子のない問題はなく、普段から情報セキュリティの現場に出ている方は要点整理などの簡単な参考書と過去問、予想問題で十分に対応することができるでしょう。
誰からも認められるものになれ。情報処理安全確保支援士試験
この記事で紹介する試験の中でもっとも難易度の高い試験が、この「情報処理安全確保支援士試験」です。
「情報処理安全確保支援士試験」は「情報セキュリティマネジメント試験」よりも格段に難しく、合格率も15%前後となっています。
その理由の一つに、この試験において要求される知識が実に広範にわたっているからという理由が挙げられます。実務レベルから、設計・運用などのセキュリティに関する全般的な知識、業務調査、分析、評価、助言といったことまで、正直『セキュリティ』という単語からは想像出来ないほど広範な知識が要求されているのです。
ただ、試験が難しい分、これに合格できれば国家資格としての「情報処理安全確保支援士」という肩書きが得られますので、自分のスキルレベルを分かりやすく他人に伝える際にとても重宝する資格であることも確かです。
それに現在ではまだ整備されてないことですが、今後ますますIT市場が拡大するに連れ、そこに安全性を担保する人物がより重宝されていくのは確実と考えられます。将来的には、規模や業態によっては各社に一人は情報処理安全確保支援士を置かなくてはならない、という法整備が進められる可能性もありますので、転職や昇進などさまざまな面でのステップアップに役立つことでしょう。
情報処理安全確保支援士試験自体は2017年に始まりましたが、実はこの試験には、前身と呼べるものが存在します。それは「情報セキュリティスペシャリスト試験」です。
情報セキュリティスペシャリスト試験とは、難易度、試験範囲ともに情報処理安全確保支援士試験とほとんど同じで、分かりやすく言うと情報処理安全確保支援士試験とは情報セキュリティスペシャリスト試験の名前だけを変えたもの、との認識で差し支えはありません。
ただ情報処理安全確保支援士試験に衣替えをするにあたり、試験合格者には国家資格としての情報処理安全確保支援士という肩書きが与えられるようになりました。
なので、難易度、試験範囲ともに同程度の情報セキュリティスペシャリスト試験の合格者には、措置期間内に申請することで、無試験で情報処理安全確保支援士の資格が得られるようになっています。過去この試験に合格されたという方はチェックしておきましょう。
勉強方法に関しては、まだまだ始まりたての試験ということもあり参考書などが乱立し、一概にこの勉強法がいい、とは言い切れないのが現状です。
高度に専門的で複雑な試験となっていますので、書店などでいろいろな参考書の中から自分に合ったものを選ぶようにしましょう。
また、他の試験同様過去問は公式ホームページにて掲載されています。これもきちんと活用しましょう。
すぐの受験は考えていないという方でも、セキュリティ業務に従事されているのなら、一度は試験問題に目を通しておくことをお勧めします。IPAが実施する試験の中でも最高難易度を誇る試験に立ち向かうことで自分のスキルレベルがどのあたりにあるのか、あるいは自分に足りない分野とはいったいどんな箇所なのか、ということが分かってくるからです。
受験の有無に関わらず、自分のウィークポイントを探すために情報処理安全確保支援士試験を利用する、というのも1つの方法です。
セキュリティは日進月歩。継続こそ力なり。
ここまで3つの試験を紹介してきましたが、これらの試験・資格というのは、あくまで手段でありゴールではない、ということは忘れないでおきましょう。
セキュリティに関する情報は世界中で更新され続けている、まさに日進月歩の世界。(なので、過去問を利用する際には古くても3年以内のものを選びましょう。)もちろん試験に合格してからも知識の更新が必要です。
これらの試験に合格することに満足して日々更新されていく知識を吸収しようとする努力を怠ってしまうのは、規模の大小はあれども、総じてセキュリティ担当者として失格だと言わざるを得ません。
試験に合格して相応の地位・給与が得られたとしてもそこで歩みを止めることなく、企業のために、そしてユーザーのために、常に自分の中のセキュリティ関連の情報を更新していく。これがセキュリティの専門家としてのあるべき姿だからです。
資格の落とし穴。持てるものの悩み。
この記事で紹介しているものの中で唯一の国家資格、情報処理安全確保支援士には、国家資格を持つ専門家として情報の更新を怠らせないための仕組みが存在しています。
ただ発足から間もない制度ということもあり、まだまだ改善の余地があるのも事実です。そこでここでは、情報処理安全確保支援士という資格の持つ問題点を紹介していきます。
まずはこの資格の存在意義に立ち戻ってみましょう。本稿を通して述べてきたことですが、資格を持つということはそのスキルレベルに客観性を持たせることができ、それによって社内外を問わず広い範囲で相応の評価を得ることが出来ます。
しかしこの資格の場合、それだけなのです。国家資格としての肩書きを得られる以外には、これといったメリットがない、というのが現状です。
一方で、資格を維持するために支払う労力が大きすぎるという問題があります。
これが先ほどの「情報の更新を怠らせないための仕組み」なのですが、具体的には有資格者には1年に1回、6時間のオンライン講習と、3年に1回、同じく6時間の集合講習とが義務付けられています。
専門家として知識に精度を持たせるための講習なのですが、問題はこれらに参加するための費用として、合わせて15万円を要するということです。
時間的な拘束はまだしも、ここまで高額な金銭負担というのは類を見ません。(そもそも情報処理安全確保支援士試験を受験するだけでも5700円かかります。)
こうした現状を鑑みると、メリットよりデメリットのほうが大きく、識者の間では情報処理安全確保支援士という資格を有していることによるメリットが法などによってきちんと整備・確保されない限りは、この資格自体が早々に廃れてしまうのではないか、という指摘も多くなされています。
企業が本当に欲しかったもの。
とはいえIPA内で最高難易度かつ唯一の国家資格という強みは明らかであり、この資格を有しているということは、採用あるいは評価の場で有効だということは疑うべくもありません。
しかしここで立ち止まって考えてみましょう。企業というのは決してその【資格を持っている人物】を必要としているのではありません。その【資格に担保される知識やスキル】を必要としているのです。企業の要請に従いセキュリティを管理し、日々の業務の遂行や問題処理など、現場で生きる知識とスキルを必要としているのです。
これが分かっていれば前述したように、試験に合格して、資格を取って満足しているようではダメだということは自明ですし、またその試験勉強も試験に合格するためだけの勉強ではダメだということも同様に明らかです。
セキュリティ担当者として必要なのは、現場できちんと活かせるような知識の吸収とそれの更新、またそれによって得た知識を個人で終わらせるのではなく周囲の人たちにも伝授し、連携を図っていくことであり、そういうことが出来る人物を企業は求めています。